Ein aktueller Sicherheitshinweis von Fortinet sorgt für Aufsehen in der IT-Sicherheitsbranche: Kritische Schwachstellen in mehreren Produkten des Unternehmens ermöglichen Angreifern die Umgehung der Single Sign-On (SSO) Authentifizierung. Unternehmen weltweit sind potenziell betroffen – Betroffene sollten dringend handeln, um ihre Systeme abzusichern.
Zero-Day-Schwachstelle bedroht Fortinet SSO-Implementierung
Am 11. Dezember 2025 veröffentlichte der Netzwerk- und Sicherheitsspezialist Fortinet ein Security Advisory zu mehreren Schwachstellen, die unter CVE-2025-38404, CVE-2025-38405 und CVE-2025-38406 geführt werden. Die schwerwiegendste dieser Lücken (CVE-2025-38404) erlaubt es Authentifizierungsmechanismen zu umgehen, wenn die SSO-Funktion aktiviert ist. Betroffen sind insbesondere FortiOS und FortiProxy in bestimmten Versionen.
Gemäß Fortinet handelt es sich bei CVE-2025-38404 um eine Sicherheitslücke mit einem CVSSv3-Score von 9.6 – also eine hochkritische Einstufung. Besonders brisant: Die Lücke lässt sich remote ausnutzen, ohne dass die Angreifer authentifiziert sind. In einer Unternehmensumgebung, in der SSO weit verbreitet genutzt wird, könnte dies weitreichende Auswirkungen haben.
Die Schwachstelle ermöglicht es Angreifern, sich durch manipulierte SAML-Requests (Security Assertion Markup Language) Zugriff auf privilegierte Ressourcen zu verschaffen. Stimmen Konfiguration und Version, kann ein Angreifer damit administrative Befugnisse erlangen, ohne legitime Credentials zu besitzen.
Welche Produkte sind betroffen?
Folgende Fortinet-Produkte und -Versionen sind betroffen:
- FortiOS: Versionen 7.0.0 bis 7.0.13 und 7.2.0 bis 7.2.8
- FortiProxy: Versionen 7.0.0 bis 7.0.12 und 7.2.0 bis 7.2.7
Fortinet hat mit den Releases FortiOS 7.0.14, 7.2.9 sowie FortiProxy 7.0.13 und 7.2.8 bereits Sicherheitsupdates ausgeliefert. Administratoren wird dringend geraten, diese Patches umgehend einzuspielen.
Auswirkungen für Unternehmen: Angriffe auf Identitätsinfrastruktur
„Angriffe auf SSO-Mechanismen treffen Unternehmen im Nervensystem – sie kompromittieren zentrale Zugangskontrollen“, erklärt Dr. Fabian Schmitz, IT-Sicherheitsexperte an der TU Darmstadt. Durch den hohen Integrationsgrad von SSO mit Active Directory, Cloud-Diensten und internen Applikationen erlaubt ein erfolgreicher Exploit eine Eskalation mit weitreichenden Konsequenzen.
Laut einer IBM-Studie von 2023 waren 82 % aller Datenschutzverletzungen auf das Ausnutzen gestohlener oder schwacher Zugangsdaten zurückzuführen (Quelle: IBM Security – Cost of a Data Breach Report 2023). Eine kompromittierte SSO-Infrastruktur kann diesen Effekt massiv verstärken, da mit einem einzigen Zugang gleich mehrere Systeme unbemerkt kompromittiert werden können.
Besonders bedenklich: Fortinet-Produkte werden laut Gartner Research 2024 in über 70 % der globalen mittelständischen Unternehmen eingesetzt, häufig als zentrale Firewall- oder VPN-Komponenten. Die hohe Verbreitung erhöht das Angriffspotenzial signifikant.
Analyse der Schwachstelle: Ein Blick unter die Haube
Technisch gesehen basiert der Exploit auf einer fehlerhaften Validierung von SAML-Inhalten bei aktivierter SSO-Funktion. Angreifer konnten manipulierte SAML-Antworten injizieren, ohne dass die Server diese korrekt auf Authentizität prüften. Dies widerspricht der SAML-Spezifikation, die digitale Signaturen erfordert – doch offenbar implementierte Fortinet diese Prüfung in bestimmten Versionen unvollständig oder fehlkonfiguriert.
Das National Cyber Security Centre (NCSC) der Niederlande bestätigte, dass erste aktive Ausnutzungen der Schwachstelle in freier Wildbahn erkannt wurden – vermutlich durch APT-Gruppen (Advanced Persistent Threats) mit Fokus auf staatliche und industrielle Ziele.
Fortinets Reaktion: Patch-Politik und Kommunikation
Fortinet hat für seine Verhältnisse zügig reagiert und passende Sicherheitspatches bereitgestellt. Auch das Security Bulletin ist detaillierter als in der Vergangenheit, wo das Unternehmen gelegentlich für mangelnde Transparenz kritisiert wurde. Dennoch fordert die Community eine verbesserte Disclosure-Strategie und kürzere Patch-Intervalle bei kritischen Bugs.
„In meinen Augen war dies ein böses Erwachen – Fortinet hat die Community diesmal transparenter informiert, aber die Abhängigkeit vieler Unternehmen von SSO wird zu wenig reflektiert“, sagt Sandra Köhler, Security Consultant bei Secunet.
Vorbeugen ist besser: Handlungsempfehlungen für IT-Verantwortliche
Wer Fortinet-Produkte mit aktivierter SSO-Funktion einsetzt, sollte folgende Schritte umgehend einleiten:
- Patch durchführen: Aktualisieren Sie FortiOS und FortiProxy auf die jeweils empfohlene Version (siehe oben) – möglichst sofort und priorisiert.
- SSO-Konfiguration prüfen: Deaktivieren Sie vorübergehend SSO, wenn ein sofortiges Patchen nicht möglich ist. Überprüfen Sie außerdem, ob digitale Signaturen korrekt validiert werden.
- Log-Analyse und Monitoring: Schalten Sie erweitertes Logging ein und analysieren Sie SAML-Authentifizierungsversuche der letzten 30 Tage auf Anomalien. Fortinet liefert passende IDS-Signaturen mit den Patches aus.
Langfristig sollten Unternehmen ihre Abhängigkeit von SSO-Systemen kritisch evaluieren und redundante Zugriffskontrollen einbauen – etwa durch multifaktorielle Authentifizierung und angebotsbasierte Zugriffssysteme („Zero Trust“).
Wachsende Angriffsfläche durch komplexe Authentifizierungssysteme
Die Sicherheitslücke bei Fortinet rückt erneut das Dilemma moderner Authentifizierungsinfrastrukturen in den Mittelpunkt: Zunehmende Komplexität und eine Vielzahl an Schnittstellen vergrößern auch die Angriffsfläche. SSO macht Logins effizient – aber zugleich potenziell brandgefährlich, wenn eine zentrale Kontrolle kompromittiert wird.
Laut dem Verizon Data Breach Investigations Report 2024 wurden rund 61 % aller Sicherheitsvorfälle durch externe Akteure ermöglicht, die Zugang über gestohlene Identitäten erhielten. Damit sind Authentifizierungsmechanismen selbst eines der Hauptziele moderner Angriffe – insbesondere in hybriden IT-Landschaften, wie sie Fortinet adressiert.
Fazit: Schnell handeln – und Sicherheitsarchitektur hinterfragen
Die aktuellen Schwachstellen in Fortinets SSO-Implementierung sind ein Weckruf für alle Unternehmen, die auf zentrale Identitätsdienste setzen. Der Vorfall zeigt, wie selbst etablierte Sicherheitsplattformen durch komplexe Integrationen und fehlerhafte Implementationen zur Gefahr werden können.
Wer jetzt handelt – Patches einspielt, Konfigurationen prüft und auf präventive Schutzmaßnahmen setzt – minimiert das Risiko signifikant. Doch die größere Frage bleibt: Wie viel Vertrauen schenken wir zentralisierten Identitätslösungen in einer Zeit, in der Cyberbedrohungen immer ausgefeilter werden?
Diskutieren Sie mit unserer Community: Wie gehen Sie mit zentralen Authentifizierungsplattformen um? Sollte SSO überarbeitet – oder fundamental neu gedacht werden?
